互联网企业安全建设漫谈




互联网企业安全建设漫谈


安全牛评


本文是网络安全建设三部曲——《人才篇》、《需求篇》、《建设篇》的第三篇。《人才篇》和《需求篇》详细阐述了中国网络安全人才市场与企业网络安全需求的现状与趋势,接下来的《建设篇》中,我们再次邀请到智联招聘安全总监张坤,谈谈互联网行业网络安全建设的常见问题和方法,并分享企业网络安全团队建设经验。


当下,互联网行业企业进行安全建设主要面临如下八大问题:


1.企业信息系统互联互通,面临来自外部的威胁;

2.各企业具有大量客户各类型信息渐渐得到灰色产业链的觊觎;

3.安全事件造成的损失以及信息系统恢复的成本激增;

4.缺乏安全技术人员以及安全管理制度;

5.面对外部网络威胁的恐慌,导致了某些企业信息化发展的裹足不前;

6.企业对信息共享、互联网化、云服务、AI等高新技术的追求延伸出新的信息安全风险点;

7.安全意识的淡薄以及管理制度的不完善,面临着来自内部的人为失误或蓄意破坏、信息窃取。

8.僵木蠕等问题严峻,勒索病毒威胁严重;


互联网企业安全建设漫谈


对互联网企业(包括传统企业)来说机构安全建设存在一定的复杂性,信息系统的封闭性、应用间交互性、数据的多样性、导致IT资产混乱;其次,应用架构庞大、数据庞杂,相关人员无法系统的了解应用的架构、数据的类型、数据的级别和相对应的策略,系统间交互没有较好的权限控制和管理。


另一方面,人员安全意识较低、缺少安全队伍,缺少行业规范,国家法律法规也相对薄弱,导致安全能力和系统应用的能力不匹配。


另外企业安全建设较多偏离业务和实际场景,安全不应脱离于具体业务,需要与业务场景高度耦合。这些除了安全的基础能力建设之外,和业务强绑定,为业务提供数据输入、功能处理才能实现更高的价值,有一批懂运营会分析,服务意识强的安全人员,积极在企业内部推动数据安全的各项举措,从而构建有效(真正产生价值)的安全体系。



互联网企业安全建设六大步骤


01

建立具有企业特性的框架模型


上文提到,安全不应脱离于具体业务,需要与业务场景高度耦合,这个耦合的过程实际就是框架建设的过程,百丈高楼起于平地,但非无中生有,好的规划和设计,对日后整体资源投入和能力构建都是由较好的战略指引性作用,一个基本的安全策略框架可以包括:安全策略方针、安全组织架构、安全技术体系、安全合规体系、数据安全体系、人员安全管理、外部安全管理等方面构成。如下图:


互联网企业安全建设漫谈


02

非通用的场景化安全需求探索


每个行业有每个行业的业务特性,抛开基础安全具有通用型,比如大家都要用防火墙、都要用杀毒,但在行业业务模式和数据流转流程的差异化之下,使用、运营、管理、策略等产生了很大的不同,例如:富文本编辑器下,安全过滤会成为一个笑话,比如学校考试系统,BCP毫无价值。了解行业的特性,建设一套符合行业特性的安全技术体系,并了解最新安全技术和安全风险,为技术体系的进化提供能量,是每个深耕的安全人应去努力的方向,根据个人过往工作经验进行了整理,如下图:


互联网企业安全建设漫谈


03

数据安全管理体系建设


数据安全是重中之重。数据在传输、访问以及存储等各个方面都可能存在安全隐患,现在企业都在努力建立一套完善的数据安全生命周期管理体系,包含数据创建和采集安全、数据传输安全、数据存储安全、数据处理安全、数据访问安全、数据备份和恢复管理、协作共享安全等。对数据而言,生命周期是框架,是形而上的东西,下图整理了一个成熟安全体系需要考虑的内容,把数据生命周期形象化、具体化:


互联网企业安全建设漫谈


04

法律法规要求和合规能力建设


参考2019年网络安全、数据安全相关法律法规的颁布来看,确定数据的权属,合理的跨境流动,保护个人隐私,个人用户合法权益的要求仍是重中之重,充分保障数据的安全,维持数据价值,仍将是国家在安全法规和执法管控上将要完善的内容。


从国家层面来说,网络安全法奠定了安全基础,提出了“等级保护制度”的要求,各个行业也先后出台了相关制度,比如金融行业、医疗行业、政府、公共机构等。


对企业而言,除等级保护要求之外,

《GB/T35273个人信息安全规范》针对个人信息面临的安全问题提出了要求,规范个人信息在收集、存储、使用、共享、转让、公开披露等信息处理环节的相关行为,主要为遏制个人信息非法收集、滥用、泄漏等恶意行为提出权益保障的标准。


工信部337号文,面向APP服务提供者和APP分发服务提供者两类主体对象,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。


《信息安全技术 移动互联网应用程序 (App) 收集个人信息基本规范》、《互联网个人信息安全保护指南》等都从各个角度完善合规维度,这将导致合规事件成本对企业越来越高,无论是行政处罚成本、还是公关形象成本。


主要包含了如下几个方面:


互联网企业安全建设漫谈


05

培训教育


包含新员工安全培训、全员安全意识培训、技术人员安全技能培训和专项安全培训,提升员工的整体的安全意识,这是在构建信息系统和管理流程的第一步。


在培训教育上,可以使用两个维度来进行,一是培训对象维度区别,一是培训内容区别,主要设计维度如下:


·全员-安全意识、基础安全技能、安全制度及处罚;

·技术全员-深度安全意识、安全操作能力、安全识别能力、基础应急响应;

·安全研发-漏洞及风险的原理、代码基础安全能力、安全设计标准;

·高管领导-安全动态、安全风险、安全价值、安全事件、法律法规动态等。


06

建立对内、对外接口


在内外接口上,有几个内容可供参考:


建立src,作为外部风险的一个获悉渠道,现在很多企业都有src,做的较好的比如腾讯、阿里、京东、滴滴等,另外src站点建设上,腾讯开源了xsrc,可作为初建者的参考。


安全BP是一个较好的对内安全运营的方式,每个关键团队制定一个安全对接人,安全BP来负责对安全团队的沟通对接,负责对所在团队安全问题的跟进处理和统一出入口。


任何安全建设都需要长期的优化过程以适应多变的实践环境,企业安全团队应首先对新法律法规、新安全技术保持一定的敏感性和积极态度。


互联网企业安全建设漫谈


我们对以上的步骤做一个总结:


互联网企业安全建设漫谈


在此基础上,还有几个安全建设思路抛砖引玉:

1、安全团队怎么打造安全品牌价值?

2、安全团队的OKR是什么,O是否正确?

3、安全团队产出的价值体现,到底是在自娱自乐还是在解决实际问题?

4、合规要求和严重、高风险漏洞,我们思考的角度是什么?



团队建设:如何打造企业自己的安全“铁军”


从我们之前发布的网络安全人才市场分析上来看,网络安全人才缺口越来越大,基础性网络安全人才需求愈发迫切,预计未来3-5年内,具备实战技能的安全运维人员与高水平的网络安全专家,将成为网络安全人才市场中最为稀缺和抢手的资源,在这个前提下我们聊聊企业应如何打造属于自己的安全部队:


互联网企业安全建设漫谈


1、谁是老大:CTO和IT负责人在不同企业都可能会承担安全团队负责人的角色,两者角度和诉求会有不同,在不同的背景下导致的核心需求会有较大偏差,偏差导致团队能力的侧重点会有不同。


2、S0级别的安全问题:企业技术核心领导,在组建安全团队的时候,梳理公司风险(战略性),判定当前企业面临最大的安全问题来源是什么,例如黑灰产压力、薅羊毛等导致的资产损失、病毒木马肆虐、监管机构核心压力、业务安全诉求增加、内部人员安全风险、上市安全合规需求等。


3、夺帅:不同的风险需求明确了你所选择不同履历的leader,leader作为团队的团魂,至关重要,在人员选择上大厂背景的人员有个重要特点,专,也就导致了知识面较窄,如果你需要一个综合能力强的领军人物,中型企业具有一定管理能力和管理经验的人是最优选择。


4、点将:安全团队构成以风险梳理结果为主,当业务合规压力是主要风险来源的时候,风控能力的建设放在第一位,风控研发、算法模型、数据角色等都是需要考虑的角色。当合规压力较大的时候,具有测评等保、ISO审计等经验的人会产生很大价值。如果攻防对抗是当务之急,那么学历不那么重要的白帽子不妨作为选择。


5、赋值:另外推荐几个团队KPI指标:


a) SRC活动收益指标,引流人员数量、人员活跃度、漏洞提交数量;


b)风险处置时效性排行(关联业务KPI);


c)内部风控对抗数据,黑灰产识别、团伙犯罪识别、诈骗识别、身份伪造识别、虚假交易等;


d)技术团队的系统化自动产出,安全能力工具化自动化系统化,例如安全核心管理工具、漏洞安全管理平台、扫描工具、加解密工具、安全产品集中管理能力等;


e)外部风险发现:监管机构合规风险(通知通告、处罚等)和漏洞情报(被公布传播)、恶意情报(黑灰产交易等);


f)漏洞管理:结合第三方、SRC、团队内部,建立互相验证、互为攻防的体系,例如1、新系统上线,内部团队未发现高危风险,第三方机构发现大量高危,证明内部团队能力(含资源)或流程需要提升。2、第三方机构未发现风险,SRC或内部安全团队反之,证明第三方机构未投入有效资源参与项目或对业务熟悉度不足。3、SRC长期未实现有效价值,发现高价值风险,证明SRC运营能力和入职人员能力需要提升。


安全技术体系是探索了行业最佳实践的产出,在此基础上,我们需要总结出一套行之有效的适合各位leader所在行业、所在企业的安全体系。这样的安全能力和保障体系,不仅用在企业内部,也会对行业赋能,为行业输出我们的安全能力,为需要高水平的信息安全保障体系的合作伙伴奉献我们的能力和价值,每一分信息安全的见解、经验,希望能够为这个安全领域的发展贡献一些绵薄之力。


相关阅读

《人才篇》大数据解读中国网络安全人才市场现状

《需求篇》痛点与要点:中国企业网络安全现状及需求分析


互联网企业安全建设漫谈

合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com





互联网企业安全建设漫谈

上一篇:台积电宣布断供华为:若美国制裁不变 9月14日后停供
下一篇:

相关推荐

国外买家拖欠货款,厦一出口企业收到740万赔款,多亏了它……

1458 厦门日报

人有旦夕祸福天有不测风云做出口贸易的人肯定知道跨国贸易有风险万一遇到买家反悔或拖欠货款多一份出口信用保险可以有效分担风险今年上半年由于新冠肺炎疫情的影响不少出口企业都遭受重创中国出口信用保险公司厦门分公司(简称“厦门信保”)根据中央要求和厦门外贸工作实际聚焦保订单、拓市场、稳经营、助融资贯彻落实中国信保23条服务措施全力支持本地外经贸企业复工复产并积极为小微

从数据看趋势:上半年我国经济先降后升 二季度经济增长由负转正

1805 中国纪检监察报

国家统计局7月16日发布数据,初步核算,上半年国内生产总值456614亿元,分季度看,一季度同比下降6.8%,二季度增长3.2%。图为工人在山东省青州市一家汽车制造企业的冲焊车间内生产作业。新华社发(王继林摄)图为2019年至2020年二季度国内生产总值增长速度情况(季度同比)。制图:张寒“一季度同比下降6.8%,二季度增长3.2%……从环比看,二季度国内生

各地金融支持政策落地开花 体育企业复工复产有底气

43 中国体育报

为了帮助企业渡难关、稳发展,近期,全国多地体育部门协助银行系统出台金融扶持政策,为国内体育企业复工复产助力。如今,这些专属金融服务已取得初步成效,有力缓解了疫情期间企业资金周转压力,为体育企业复工复产增添底气。广东:授信额度已近1.8亿元广东省体育基金会秘书长兰赛告诉记者,“3月中旬,广东省体育局联合宣传部、文旅厅发布应对新冠肺炎疫情相关文件,明确提出要加大

央企再迎人事调整 数名能源企业外部董事履新

1504 经济观察报

经济观察网记者王雅洁7月16日晚间,经济观察网记者从国务院国资委获悉,数家能源央企迎来新的外部董事人事调整。以国家能源投资集团有限责任公司为例,最新聘任杨亚为外部董事,聘期三年(自2020年7月至2023年6月),中国东方电气集团有限公司则聘任黄永达、苏新刚、张诚、张宝林、高名湘为外部董事,其中,黄永达、苏新刚、张诚、张宝林聘期三年(自2020年7月至202

跨省团队旅游恢复,我第一个想去的是这里,连空气都让人向往……

1485 自驾游门户网

终于等到你,还好我没放弃!时隔172天,全国各省市区跨省团队旅游终于恢复,出境游暂不支持。通俗来讲就是:国内旅游可以放心去玩了,但最好选择周边游。出国旅游今年就不要再想了,毕竟也不太安全。目前正值暑期,也是年假出游高峰期。今天小驿整理了这篇超适合暑期出行的游玩推荐,带你走进那些连呼吸空气都让人很向往的宝藏游玩地。通向绿色天堂的“草原天路”张北草原位于张家口西

试点注册制创业板集中挂牌仪式或9月举行 287家受理企业总募资1900亿

410 挖贝网

文|挖贝网邢荇科创板开市仪式是2019年7月22日举行,新三板精选层开板已经定在2020年7月27日,那么试点注册制的创业板首批企业集中挂牌仪式将会在什么时候举行?挖贝网根据今年精选层的推进速度,大致推算出的时间是在8月底或者9月初,最晚不会晚过9月底。另外,截至到7月15日,创业板共受理了287家企业首次发行上市申请,总募资额接近1900亿元。其中,广东、

全市民办小学、初中报名汇总数据来了!市教育局回应十大报名热点问题

1728 河北经视

7月15日,是全市民办小学、初中报名工作开始的第一天,截至7月15日晚上九点,我市共有32899名学生进行报名,其中小学报名8182人,初中报名24717人,招生平台浏览量400余万次,有30所学校第一志愿已达电脑随机派位人数。今天是报名的第二天,为帮助广大学生、家长做好报名服务和志愿填报,根据电话咨询以及平台审核人审核情况,市教育局梳理了十大常见问题,为大

SigRed漏洞在Windows中潜伏17年! 蠕虫病毒或感染全球中小型企业

309 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.comE安全7月16日讯,近日据外媒报道,微软警告了一个17岁的蠕虫病毒漏洞—SigRed漏洞,他存在于WindowsDNS中,WindowsDNS几乎被世界上每一个中小型组织使用。据了解,自从三年前“WannaCry”和“NotPetya”在互联网上出现以来,安全行业就仔细检查了每一个可能被用来制造类

游戏

王者荣耀:体验服免费发放史诗级皮肤,新英雄阿古朵居然是个打野?

239 王者派

点击上方蓝色字关注我们~王者荣耀体验服自从面向用户开放之后,一直深受玩家们的喜爱,其中最重要的一点是,在体验服中不仅可以体验到新版本的改动,还可以提前体验新英雄的技能。不过你知道吗,其实玩体验服还有一个重要的福利,那就是可以免费领取永久皮肤。这等白piao皮肤的好事,且听二狗细细道来。6月5日24时,体验服会对当前赛季进行积分结算,截止6月10日前,王者荣耀

游戏

王者荣耀:背包系统将得到优化,英雄皮肤体验卡一键搞定

1306 游人馆

王者荣耀从内测到如今也是好多年了,每年都有大量的活动以及其他的渠道可以给大家带来很多东西,以至于大部分老玩家的背包都比较满,看上去是眼花缭乱一大块,要找到自己想用的东西都要找很久,背包的优化也是迫在眉睫,官方也是发布了之后的一些改进计划,主要是关于体验卡的。之前的体验卡都是分天数的,1天,3天,7天,14天等都有,并且每一种类型的都要在背包里面占一个格子,可

封城后又封小区,武汉小动物协会暂停救援,我的猫还有救吗?
萌宠

封城后又封小区,武汉小动物协会暂停救援,我的猫还有救吗?

1011 猫与爱的世界

距离武汉“封城”,已经过去29天了。城内留守的宠物们,遭遇了一场猝不及防的粮食危机。它们的主人返乡前,只留下了足够春节假期吃喝的食水,而由于疫情和封城的关系,未能如期返回…于是,这些独居的宠物,成了另一群等待救援的生命。自1月26日,武汉城内,包含武汉小动物保护协会在内的多家动物救助组织及个人,开始了疫情期间上门救助留守宠物的工作。虽然在过程中会遇到这样那样

萌宠

一名女子独立抚养六只残疾狗,背后却隐藏着一个心酸的秘密……

1360 宠物帮萌星球

有时候越年长的狗狗或者身体有残疾的狗狗找到一个好的归宿反而十分不容易。但是在美国有位饲主TraceyFowler,她自己养了八只狗但其中有六只都是身患残疾,这些狗狗只有靠轮椅才可以正常行走。Tracey表示,领养这六只狗狗并没有什么特别的理由,就是觉得它们一样值得被爱,希望它们也可以幸福快乐的活到最后一天。其实让Tracey这么做的背后,还隐藏着一个心酸的故

玩了3天《魔兽争霸3:重制版》,我觉得现在的暴雪配不上它的玩家。
游戏

玩了3天《魔兽争霸3:重制版》,我觉得现在的暴雪配不上它的玩家。

292 差评

对于一个游戏来说,权威网站上的综合评分是很重要的。而最近,一个游戏界知名IP《魔兽争霸3》(简称War3)的重制版却在用户口碑上遭遇了滑铁卢。截止目前,War3重制版在知名评分网站Metacritic上的评分已经掉到了0.5分(10分制)。0.5分是什么概念呢?这不仅是《魔兽争霸》系列IP的缔造者暴雪娱乐出品的所有游戏中的最低评分,更是Metacritic上

【荐读】女人被追求时,心里时怎么想的?
私房话

【荐读】女人被追求时,心里时怎么想的?

631 手把手教你谈恋爱

最近看到这样一条相当于是征婚的消息吧:一87年程序员年薪百万,有房有车,想找一90后独生女,最好江浙地区,要求性格温柔,通情达理,相貌7分以上,身高不低于165,本科最好985或211,90年以后出生,月收入1w以上,家庭无负担,最好是独生女。这个男生条件是挺好的,但评论区还是被许多人喷了。其实三观这个东西,没有对和错,自身条件好,也想找个条件好的女生,这很

一个男人变心前,经常会说这三句话
私房话

一个男人变心前,经常会说这三句话

550 甜甜的生活手札

甜甜的生活手札给生活加点甜。=来源:北叔有约ID:beishu2016言语能安慰人,更能伤害人都说,爱情,长不过执念,短不过善变。多少人在爱情里委曲求全,苦苦挽留,希望能够拥有一段稳定的感情;多少人曾经患得患失,付出全部,只希望感情里的温度维持的再久一点。然而,感情总是很善变,有的感情,前一秒还誓言旦旦,后一秒却走向结局,有的人,前一秒还说着不离不弃,后一秒

私房话

邓超出轨你会怎么办?孙俪脱口而出6个字,网友:情商真高

758 生活乐趣志

在复杂纷乱的娱乐圈中,出轨好像变成了家常便饭,前段时间“刘阳”出轨更是在热搜被发酵了好多天。人是高级社会动物,接受不了伴侣对自己的背叛,而高度的共情能力会使得“人人痛恨第三者”。还好,有这么一些夫妇他们在这样复杂的环境中依然相濡以沫。在“你认为永远不会出轨的夫妻”中,邓超孙俪这对夫妇永远靠前。孙俪,因为拍摄了一部《甄嬛传》,让大家再次见识到这个女人的演技。而